我正在使用Corona SDK开发移动应用程序。它的核心功能之一是需要在应用程序和我的服务器之间发送数据。我的问题是,在什么时候使数据传输安全的尝试变得多余?
服务器端由几个PHP文件和一个MySQL数据库组成。我有一个SSL证书,并且在两端都验证了数据。该应用程序本身仅使用HTTP POST通过HTTPS / SSL发出网络请求,并且正在传输的数据是JSON字符串。
至此,我相信我已经做了应做的一切。但是,作为额外的预防措施,我还在两端使用AES256-CBC加密和解密JSON字符串。
这种额外的加密是完全必要的还是多余的?
答案 0 :(得分:0)
HTTPS保护客户端(浏览器)和服务器之间的传输。具体来说,它不会保护服务器端(即数据库内部)的静态数据,也不会保护PHP应用程序与数据库之间的数据传输。
尚不清楚是否需要在客户端和服务器之间的传输之外进行任何保护。但是,看来您的AES加密只会保护与HTTPS已经保护的路径相同的路径。在这种情况下,它可能不会添加任何保护。它可能会增加针对合法(或恶意)SSL拦截的保护,但是如果加密密钥是通过与加密数据相同的通信通道发送的,则它实际上不会增加保护。